Browser-Automatisierung erkennen — jenseits von User Agents

Warum User-Agent-Checks versagen

Die meisten Bot-Detection-Systeme prüfen zuerst den User-Agent-String. Das Problem: Einen User Agent zu ändern kostet eine Zeile Code. Die W3C-WebDriver-Spezifikation verlangt, dass `navigator.webdriver` auf `true` steht, wenn ein Browser per Automatisierung gesteuert wird. Bots haben das schnell auf `false` zurückgesetzt. 51 % des gesamten Web-Traffics 2024 war automatisiert (Imperva, 2025). 41 % gelten als fortgeschrittene Bots, die menschliches Verhalten imitieren (Imperva, 2025).

Wenn die Signale, die ein Client über sich selbst preisgibt, unzuverlässig sind, muss die Erkennung auf Signale ausweichen, die der Client nicht kontrollieren kann.

TLS- und Protokoll-Fingerprinting

Beim TLS-Handshake sendet der Client ein ClientHello mit Cipher-Suites, Erweiterungen und ALPN-Präferenzen. Diese Werte werden vom Netzwerk-Stack bestimmt, nicht von JavaScript. JA4, von FoxIO entwickelt und von Cloudflare übernommen, ist resistent gegen die Randomisierung von TLS-Erweiterungen. Cloudflare verfolgt über 15 Millionen einzigartige JA4-Fingerprints aus mehr als 500 Millionen User Agents (Cloudflare, 2025).

Auf HTTP/2-Ebene sendet Chrome ein WINDOW_UPDATE von ~15 MB, Firefox ~12,5 MB. Die meisten HTTP-Libraries senden null. Das ist ein 100-facher Unterschied, sichtbar bevor ein einziges Byte Seiteninhalt übertragen wird. Auch die Pseudo-Header-Reihenfolge ist pro Browser fest codiert.

JavaScript-Umgebungssignale

Automatisierungstools verändern die JavaScript-Umgebung. Moderne Erkennung prüft, wie Properties definiert sind: Property-Deskriptoren und `toString()`-Rückgabewerte, die bei überschriebenen Gettern vom Original abweichen. Canvas- und WebGL-Ausgaben hängen von der GPU ab. Tools, die in Cloud-Umgebungen laufen, erzeugen Fingerprints, die zur Hardware des Cloud-Anbieters passen, nicht zur Hardware, die der User Agent behauptet.

Chrome DevTools Protocol-Erkennung

Puppeteer, Playwright und Selenium steuern Browser über CDP. Erkennungssysteme nutzen CDPs Nebeneffekte: Wenn die `Runtime`-Domain aktiviert wird, serialisiert sie Objekte über die WebSocket-Verbindung. Castle hat allein im Oktober 2025 rund 205.000 Puppeteer-Stealth-Events erkannt, aber zehnmal mehr Traffic von gewöhnlichen Selenium-Bots (Castle, 2025). Neuere Frameworks wie nodriver verzichten auf CDP und steuern den Browser stattdessen über Betriebssystem-APIs.

Verhaltensanalyse

Bots bewegen die Maus in geraden Linien mit konstanter Geschwindigkeit. Menschen wandern. In kontrollierten Tests hat die Analyse von Tastendruck-Timing allein Bots mit 99,98 % Genauigkeit erkannt (IFIP, 2024). Diese Signale wirken am besten auf interaktiven Seiten wie Login-Formularen.

Was das für Ihre Website bedeutet

37 % des gesamten Internet-Traffics 2024 waren bösartige Bots (Imperva, 2025). Nur 2,8 % der Websites sind vollständig geschützt (DataDome, 2025). Effektive Erkennung erfordert die Prüfung von Signalen über mehrere Schichten (TLS, HTTP/2, JavaScript, CDP, Verhalten) und deren Abgleich in Echtzeit. Centinel prüft jede Anfrage über all diese Schichten und trifft eine Entscheidung in unter 2 ms.